Preguntas con etiqueta 'web-application'

preguntas con etiqueta
3
respuestas

¿Cómo se podría usar la cadena \ "; alert ('XSS'); // para XSS?

Estaba usando Burp Suite para algunas pruebas y noté que incluían la siguiente cadena: \";alert('XSS');// como una cadena de ataque para una carga útil XSS. ¿Cómo podría usarse esta cadena para ejecutar un ataque XSS?     
hecha 30.07.2013 - 23:54
3
respuestas

Acceder al documento con un token de 6 letras

Estamos creando una aplicación web donde los usuarios pueden insertar 6 letras / dígitos (A_Z, 0-9) en un formulario para acceder a un documento. Cada documento tiene un código de acceso asignado aleatoriamente como este: 1ABH5F. Cuando el us...
hecha 26.09.2016 - 08:13
3
respuestas

¿Por qué el HSTS no se aplica automáticamente a los subdominios para mejorar la seguridad? ¿Por qué razón alguien no querría HSTS en cada subdominio?

HSTS restringe la conexión para que siempre sea HTTPS si se implementa en cualquier dominio, sin embargo, para que se aplique a subdominios, se necesita el atributo 'includeSubDomain'. ¿Por qué la política en sí misma no obliga a incluir todos l...
hecha 28.10.2016 - 11:20
4
respuestas

¿Cuáles son las principales consideraciones de seguridad que deben tenerse en cuenta si pretende crear un sitio web de denuncias (localizado)?

También: ¿Es algo que se puede lograr con fondos limitados? Lo pregunto porque estoy intrigado por los obstáculos que están en su lugar.     
hecha 26.02.2014 - 22:06
4
respuestas

¿Por qué OWASP Top 10 (aplicación web) no ha cambiado desde 2013 pero Mobile Top 10 es tan reciente como 2016?

La última edición de OWASP Top 10 para aplicaciones web fue en 2013 y para aplicaciones móviles, es 2016. ¿Por qué es así? ¿Podemos decir que el patrón en las vulnerabilidades de la aplicación web está resuelto? ¿Ocurrirá lo mismo con las aplic...
hecha 13.07.2016 - 14:32
2
respuestas

Antivirus para escanear cargas de archivos anónimos

Como no tengo experiencia con soluciones de AV en entornos similares a Unix, necesitaría ayuda con sugerencias sobre algo que pueda ser adecuado para escanear archivos que son subidos por usuarios anónimos a través de una aplicación web. Esto...
hecha 30.11.2011 - 10:24
2
respuestas

XSS a través de JSON: ¿Por qué una aplicación web no desinfecta el hash de parámetros entrantes o los valores JSON salientes de etiquetas maliciosas como Script?

Recientemente, trabajando en una aplicación web basada en Rails para una empresa, tuve que analizar la vulnerabilidad de XSS. Resulta que la aplicación, en algunos lugares, podría tomar una etiqueta HTML (por ejemplo, <script>jscodehere...
hecha 19.12.2015 - 09:05
4
respuestas

¿Merece la pena desde el punto de vista de seguridad limitar al usuario del servidor de base de datos para el sitio web ASP.NET a solo EJECUTAR en procedimientos almacenados?

Sé que, obviamente, debemos evitar los ataques de inyección de SQL mediante la validación de las entradas del usuario y las consultas parametrizadas. Ya existe un servidor de seguridad en el servidor de la base de datos para limitar las conexion...
hecha 09.08.2011 - 20:51
3
respuestas

¿Está buscando un consultor de seguridad para hacer una revisión detallada del código?

Tenemos una aplicación PHP que sabemos que tiene prácticas de codificación deficientes (porque los desarrolladores no tenían una buena comprensión de los fundamentos de programación / PHP). Esto podría llevar al escenario donde tenemos fallas de...
hecha 02.12.2010 - 02:13
2
respuestas

¿Es segura la transacción con tarjeta de crédito a través de 3G?

3G, GPRS u otra conexión basada en móvil. Porque parece que es más fácil de interceptar que, digamos, una conexión terrestre o WiFi cifrada. Si es importante, la transacción que quiero realizar es una transacción de Android Market / Google Check...
hecha 07.08.2011 - 08:39